Worm

8. April 2017, 21:58

Auch die Begriffe – Wurm, Malware, Botnetz – waren ihm fremd. Mark Bowden musste sich also für sein Buch in die Geheimnisse der Computerwissenschaft einarbeiten und dann beim Schreiben jeweils entscheiden, wie kompliziert es werden darf, bis der Durchschnittsleser geistig aussteigt:

"Mein Kriterium bestand darin: Wenn ich es für mich wichtig fand zu verstehen, wie der Wurm in das Windows-Betriebssystem eindringt, dann dachte ich mir: Das muss ich auch den Lesern erklären. Das war für mich so eine Art Daumenregel", sagt Bowden im Gespräch.

In seinem Buch "Worm. Der erste digitale Weltkrieg” beschreibt Mark Bowden die Entdeckung des Computerwurms Conficker vor drei Jahren und wie in der Folge IT-Experten in aller Welt versuchten, ihn zu verstehen und unschädlich zu machen.

Von Phil Parros entdeckt

Conficker ist nicht der erste Wurm aus dem Internet. Zu seinen Vorläufern zählen etwa Melissa oder Creeper. Doch Conficker brachte immerhin US-Präsident Barack Obama dazu, festzustellen, wie wenig man gegen Angriffe aus dem Cyberspace gewappnet sei.

Phil Parros vom kalifonischen Institut SRI International entdeckte Conficker am Abend des 20. November 2008. Nichts verriet zu diesem Zeitpunkt die Tücken des Wurms, wie Mark Bowden schreibt:

Gefangen in der Honigfalle

Es ist die Hauptaufgabe von Phil Porras und seinen Kollegen am SRI International, Bedrohungen aus dem Internet aufzuspüren.

"Phil Porras hat eine sogenannte Honigfalle: ein Netzwerk von anfälligen Computern also", erzählt Bowden. "Deren einzige Aufgabe besteht darin, infiziert zu werden. Das heißt: Jeder Virus, jeder Wurm, der im Internet existiert, landet sehr schnell auf Phils Computerbildschirm. Conficker erregte anfangs vor allem Neugier. Denn beispielsweise kein Antivirusprogramm der Welt erkannte dieses Schadprogramm. Es war neu. Phil Porras hatte noch nie etwas gesehen, das sich so schnell ausbreitete. Er hat mir erzählt: Nach 24 Stunden hatte er für nichts anderes mehr Zeit, denn alles, was in seiner Honigfalle landete, war Conficker."

Dem durchschnittlichen User fiel nicht auf, dass sein Computer Conficker zum Opfer gefallen ist. Die Aufgabe des Wurms war es ja, die infizierten Computer zu übernehmen und zu einem mächtigen Netzwerk zu verbinden. Ein solches Botnetz kann dann vom Schöpfer des Wurms gesteuert werden und andere Computer attackieren. Diese Strategie eignet sich für eine ganze Reihe krimineller Unterfangen, von Sabotage bis Betrug.

Von IT-Profis entwickelt

Die besten IT-Experten arbeiteten bei der Bekämpfung des Wurms zusammen. Das Team ist als die Conficker-Kabale in die Computergeschichte eingegangen.

"Die Leute, die Conficker analysierten, mussten herausfinden, wie der Wurm zusammengesetzt war", so Bowden. "Das macht man mit Reverse Engineering: Man arbeitet am Computer und zerlegt den Wurm in seine Bestandteile, bis hin zu den binären Einsen und Nullen. Das muss man machen, wenn man die hochkomplexe Verschlüsselung knacken will. Das ist eine sehr mühsame Arbeit. Hassen Said von SRI International brauchte allein zwei Wochen, um zu verstehen, was für ein Geschöpf Conficker eigentlich war."

Dem Experten-Team war bald klar: Die Conficker-Schöpfer sind IT-Profis. Bis heute ist es nicht gelungen, die Kodierung zu brechen. Wer immer dafür verantwortlich war: Er war auf dem neuesten Stand der Technik, denn in Confickers Code fanden sich beispielsweise Bestandteile einer experimentellen MIT-Verschlüsselung. Die Kabale, so Mark Bowden, sei an die National Security Agency, den militärischen Geheimdienst der USA, herangetreten, damit deren Supercomputer den Code brechen. Doch das Ansuchen wurde abgewiesen.

Cyberspace-Attacke bis jetzt ausgeblieben

Eine der vielen Fragen ist nun: Wer steckt eigentliche hinter Conficker? "So viel wir wissen, handelt es sich um eine Gruppe von Computerprofis aus der Ukraine, die vermutlich von einem organisierten Verbrechersyndikat angeheuert wurden. Diese Leute sind Softwareingenieure und Experten für Verschlüsselung. Sie können es mit den besten in der Welt aufnehmen und arbeiten eben für eine verbrecherische Organisation", meint Bowden.

So viel weiß man zumindest offiziell. Doch das ist nicht das einzig Mysteriöse um dem Computerwurm. Bis heute ist nicht klar, welchen Zweck Conficker eigentlich erfüllen sollte. Die große Cyberspace-Attacke, die die Kabale so sehr fürchtete, ist zumindest bisher ausgeblieben.

"Das Botnetz ist bisher für mehrere, nicht sonderlich groß angelegte Verbrechen benutzt worden", sagt Bwden. "Das schlimmste, von dem ich gehört habe, passierte voriges Jahr in Europa: Eine Bande nutzte einen Teil des Conficker-Botnetzes, um 72 Millionen Dollar von amerikanischen Konten zu stehlen. Sie wurden erwischt, und deshalb wissen wir auch davon. Ich fürchte, es gibt eine ganze Reihe verbrecherischer Unternehmen, die über das Conficker-Botnetz durchgeführt werden. Sei es Sabotage oder Spionage. Wir hören nichts darüber, weil man die Täter bisher nicht erwischt hat."

Es sei freilich auch gut möglich, so der Autor, dass Conficker als eine Art "proof of principle" funktionierte. Als Beweis also, dass es machbar ist, Millionen Computer in kurzer Zeit zu vernetzen und so eine Großattacke zu starten. Und da es der Kabale nicht gelungen war, das Botnetz zu zerstören, existiert es nach wie vor als eine Art elektronische Abschussrampe, die jederzeit aktiviert werden kann.

Übersicht

• Digital